怀疑中了木马,请高手来看,高分相送~~~

xp系统,局域网接internet.最近附近几台机器都有下列症状:

开机时自动和203.80连接(这是我们局域网内部分配的IP),并交换数据,大概在几k左右,每次都一样。
C:\Documents and Settings\zyx>netstat

Active Connections

Proto Local Address Foreign Address State
TCP zyx:1031 10.1.203.80:2869 ESTABLISHED
TCP zyx:1037 207.188.24.143:http SYN_SENT

这是防火墙日至:
[13:50:29] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:30] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:37] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。

在进程中多了一个SVCHOST.exe,我原来是4个,现在是5个,多的那个的用户是system.
在注册标的启动项里没有任何可怀疑的东西,我都删掉了,现在只有金山病毒防火墙和天网防火墙。
已有的反木马和最新版的病毒库的金山不能发现问题。

哪位高手知道这是怎么回事~~~~很郁闷!
---------------------------------------------------------------

SVCHOST进程是系统进程
如果NORTON和木马克星都检查没有病毒
估计是下述的程序使用
TCP 5000 = WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de...

---------------------------------------------------------------

那就有些怪了
你先用ActivePorts看看是哪个程序
然后用PrcView看看这个程序的相关进程,在什么路径下。如果可疑就干掉。
假设你中了木马,我猜测很可能你中的木马是被人修改过的。
本人自己不会写木马,但是曾经拿了几个流行木马将端口、识别信息等稍作改造,杀毒软件就都查不出来了。
---------------------------------------------------------------

NORTON我个人认为是比效好的杀毒软件,对黑客工具也比效管用。但对木马加个壳就会查不出来,本人做过实验。但发现一个奇怪的问题,一个木马,加壳前NORTON能查杀,金山不行,加壳后却反过来,百思不得其解。
---------------------------------------------------------------

看看SVCHOST.exe是否占用过多的系统资源
去掉木马启动的途径,当然比较困难
有ghost最好
---------------------------------------------------------------

port 5000 - Sockets de Troie
---------------------------------------------------------------

听说Trojan.Huigezi.e的灰格子变种病毒,感染电脑后会将自己拷贝到系统目录中,命名为svchost.exe,但svchost.exe又是系统进程,一般养个4,5个也不会出现什么问题!
但根据你的端口来看又不像是中了木马!
查了一下端口列表,5000对应的服务是:5000=WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie

blazer 5 bubbel好像是木马的名称,back door那些只是优化大师的说明,并不确定。
你到“服务”里查看一下,看能不能试着将相关服务关掉或改成手动试试!

---------------------------------------------------------------

先看一下203.80有没有安全漏洞,如果203。8有问题,那被人种木马的可能性就很大,
其次查看注册表中启动项,不关run项,自启动服务中也可能有程序把木马插入系统进程如svchost,
要想分析清楚,建议用sniffer抓包下来分析,主要是和203。80间的通信

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus